IAM vous permet de donner un accès géré de vos ressources AWS à vos employés, services AWS et programmes en cours d'exécution sur des serveurs distants. Les groupes IAM sont un outil d'organisation utile qui vous permet de définir des autorisations pour plusieurs utilisateurs à la fois.
Outils d'organisation IAM
< p>Tout d'abord, une présentation rapide des différents outils IAM :
Les stratégies IAM regroupent les autorisations individuelles pour former un objet cohérent qui peut être appliqué aux utilisateurs, aux rôles et aux groupes. Par exemple, vous pouvez créer une stratégie qui autorise l'accès pour placer des objets dans un ensemble spécifique de compartiments S3.
Les utilisateurs IAM disposent de clés d'accès ou de mots de passe qui leur permettent d'accéder aux services AWS à partir de l'interface de ligne de commande, de l'API ou de la console de gestion. Cela permet aux employés d'accéder aux ressources AWS depuis l'extérieur de votre compte AWS. Ils peuvent avoir des politiques attachées à leur compte, qui leur donnent des autorisations.
Les rôles IAM sont similaires aux utilisateurs, mais ne sont accompagnés d'aucune clé d'accès. Ceux-ci sont utilisés pour donner à d'autres services AWS l'autorisation d'utiliser vos ressources et ne donnent pas d'accès API ou CLI à quiconque en dehors de votre compte. Par exemple, vous pouvez attribuer à une instance EC2 un rôle qui lui permet d'accéder à S3, et comme elle s'exécute déjà dans votre compte AWS, elle peut jouer le rôle sans avoir besoin de clés d'accès.
AWS Organizations est un outil spécial qui vous permet de diviser votre compte AWS racine en jusqu'à quatre sous-comptes différents avec une facturation et un contrôle centralisés. Bien que techniquement sans rapport avec IAM, cela vous permet de séparer complètement les environnements de développement, de test, de mise en scène et de production, ce qui peut vous permettre d'accorder des autorisations IAM plus laxistes aux employés travaillant uniquement dans l'environnement de développement.
Groupes IAM c'est ce dont nous allons discuter aujourd'hui. Cet outil vous permet d'attacher plusieurs politiques à un groupe et d'ajouter des utilisateurs à ce groupe, qui recevront les mêmes politiques que le groupe. C'est un excellent outil d'organisation et crucial pour garder une trace de plusieurs utilisateurs.
Comment travailler avec des groupes
Les groupes vous permettent de distinguer différentes catégories d'employés avec différentes autorisations. Par exemple, supposons que vous ayez une équipe de développeurs de logiciels et une équipe d'ingénieurs QA. Les deux ont des exigences différentes et, en tant que tels, nécessitent des autorisations différentes. Les définir sur le groupe vous permet de configurer facilement de nouveaux employés avec accès, ou de déplacer des utilisateurs entre les équipes en cas de besoin.
Publicité
Créez un nouveau groupe à partir des “Groupes” ; de la console de gestion IAM.
Donnez-lui un nom et joignez les règles que vous souhaitez. Les groupes peuvent avoir un maximum de 10 stratégies attachées, vous voudrez donc probablement créer une stratégie personnalisée ou deux pour ce groupe. Vous pouvez également ajouter des politiques en ligne directement au groupe, mais nous vous conseillons d'utiliser une politique régulière pour que tout reste en ordre.
Cliquez sur “Créer,” et c'est toute la configuration requise. Vous pouvez ajouter un nouvel utilisateur au groupe à partir des “Utilisateurs” tab :
Ou, si vous automatisez votre processus d'intégration, vous pouvez le faire à partir de la ligne de commande avec :
aws iam add-user-to-group –group-name <value> –user-name <valeur>
Cela ajoutera les autorisations du groupe aux autorisations actuelles de l'utilisateur dans une catégorie distincte. Si vous supprimez l'utilisateur du groupe, les autorisations du groupe ne s'appliquent plus.
Publicité
Vous ne pouvez pas créer de sous-groupes, mais les utilisateurs peuvent être inclus dans plusieurs groupes à la fois . Dans cet esprit, vous pouvez créer un “Développeurs” un groupe qui attribue les autorisations de base et un “Développeurs senior” groupe qui donne plus d'autorisations, puis attribuez-les tous les deux à un employé pour leur donner les deux ensembles d'autorisations.
Les groupes ne remplacent pas les autorisations
Dans IAM, il n'y a aucun moyen pour une autorisation de “outrepasser” une autre autorisation. Par défaut, tout est implicitement refusé et un utilisateur n'aura accès qu'aux services explicitement autorisés par une stratégie d'autorisations. Vous pouvez également choisir de refuser explicitement les autorisations à un utilisateur. Ces autorisations prévaudront toujours sur toute autre autorisation, qu'elle provienne ou non d'un utilisateur ou d'un groupe.
Lorsque vous créez un groupe, tous les groupes’ les autorisations interagissent avec les autorisations utilisateur de la même manière qu'elles le feraient si elles étaient directement attachées à l'utilisateur. Il n'y a pas de hiérarchie.
Par exemple, nous allons créer un utilisateur test et lui attacher directement la stratégie AWSDenyAll. Nous allons également créer un groupe, attacher l'autorisation d'accès administrateur à ce groupe et ajouter l'utilisateur à ce groupe.
À partir du simulateur de stratégie IAM, tout apparaît comme explicitement refusé en raison de la présence de la stratégie AWSDenyAll. Si nous changeons les choses et plaçons la politique de refus sur le groupe et la politique d'autorisation directement sur l'utilisateur, la même chose se produit. Refuser remplacera toujours Autoriser.
Une forme plus utile de ceci est les limites d'autorisations. Plutôt que de refuser explicitement tout ce que vous ne voulez pas qu'un utilisateur puisse faire même si le groupe dit qu'il le peut, vous pouvez à la place définir une stratégie comme limite d'autorisations. Cela prévaudra sur toutes les autres autorisations attachées à l'utilisateur, à la fois des groupes et directement, et n'autorisera rien que la limite des autorisations n'autorise pas également.
Publicité
Cela fonctionne essentiellement comme un diagramme d'autorisations de Venn et n'autorise que les actions qui chevauchent à la fois les autorisations explicitement autorisées des stratégies attachées et la limite des autorisations .